Un zero-day es una vulnerabilidad de seguridad que ya está siendo explotada («in the wild») antes de que exista un parche disponible. Es especialmente peligrosa porque los atacantes pueden aprovecharla sin que los usuarios estén protegidos aún

🚨 ¿Qué pasó en esta vulneración en Chrome?

1.    Google detectó un fallo grave en Chrome, identificado como CVE-2026-2441. 

2.    El problema está en cómo Chrome maneja ciertas funciones avanzadas de fuentes (CSSFontFeatureValuesMap): un error de tipo “use-after-free”. Es decir, el navegador intenta acceder a memoria que ya ha sido liberada, lo que puede causar comportamientos inesperados o peligrosos. 

3.    Este error podía ser aprovechado por atacantes que crearan páginas HTML especialmente diseñadas para desencadenar la vulnerabilidad. Solo con visitar esas páginas, el exploit podía hacer que el navegador ejecute código arbitrario dentro del “sandbox” de Chrome. 

4.    Google confirmó que existían exploits reales »en el mundo» que estaban utilizando esta vulnerabilidad antes de que se publicara la solución. Esto es exactamente lo que convierte a una falla en un zero-day. 

🛠️ ¿Cómo respondió Google?
•    Se lanzó un parche de emergencia fuera del ciclo normal de actualizaciones.
•    Google restringió la información técnica para que menos atacantes pudieran estudiar el exploit mientras la mayoría de los usuarios aún no habían actualizado. 

⚠️ ¿Qué riesgos representaba esta vulnerabilidad?

Si un atacante logra explotar correctamente este fallo:

•    Podría causar fallos o inestabilidad en el navegador. 
•    En casos más graves, podría ejecutar código malicioso dentro de Chrome, lo que podría permitir escaladas de ataque si se combina con otras vulnerabilidades. 
•    El usuario solo necesitaba abrir una página web especial para que el ataque comenzase, sin otros pasos extra.